Вирусная сетевая активность

**xlives** · 15.12.2020, 13:12

Добрый день.

svchost.exe из SysWow64 открывает кучу соединений на 445 порт посторонних случайных хостов (сканирует сеть?). При этом сам этот svchost.exe определяется как безопасный на VirusTotal.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.12.2020, 13:15

Уважаемый(ая) xlives, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 15.12.2020, 13:19

Здравствуйте!

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
Вам ведь Автологер об этом сообщал, верно?

**xlives** · 15.12.2020, 14:34

Собрал логи с консоли. Прикрепил.
Но логгер ничего не сообщал по поводу терминального режима.

**Sandor** · 15.12.2020, 14:58

"Пофиксите" в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8080;https=127.0.0.1:8080 (disabled)
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2020/04/16) - {07d77446-6a7a-4909-a79a-8eda154e42c7} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O20-32 - HKLM\..\Winlogon\Notify\ScCertProp  : [DllName] = (no file)
O22 - Task: VKDJ - C:\ProgramData\VkontakteDJ\VkontakteDJ.exe /H (file missing)

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**xlives** · 15.12.2020, 18:02

Файлы во вложении.

**Sandor** · 16.12.2020, 16:16

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2107892148-4096089976-1301009665-1000\...\MountPoints2: {2f123373-23f0-11e0-9265-806e6f6e6963} - E:\InstAll.exe
HKU\S-1-5-21-2107892148-4096089976-1301009665-1000\...\MountPoints2: {446e4983-4be0-11e8-b215-74f06db23a24} - F:\AutoRun.exe
C:\Users\Virtual\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
CHR HKLM-x32\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [92]
FirewallRules: [{2FBFD9BD-F112-4702-8F28-33F943892EC4}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**xlives** · 16.12.2020, 21:41

Файл прилагаю.

**Sandor** · 17.12.2020, 09:59

Что сейчас с проблемой?

**xlives** · 18.12.2020, 11:52

Вроде ушла проблема. 2 дня полёт нормальный! Спасибо!

**Sandor** · 18.12.2020, 12:17

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**xlives** · 20.12.2020, 02:56

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 20.12.2020 02:47:32
Path starting: C:\Users\Администратор\AppData\Local\Temp\Security Check\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Администратор
VersionXML: 8.39is-12.12.2020
__________________________________________________ _________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 19.01.2011 17:27:49
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE
Системный диск: C: ФС: [NTFS] Емкость: [60 Гб] Занято: [49.3 Гб] Свободно: [10.7 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 10.0.9200.17183 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен (Уровень 2)
Автоматическое обновление отключено
Дата установки обновлений: 2015-01-01 13:13:41
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
Microsoft Office 2013 x86 v.15.0.4420.1017
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.22 (64-bit) v.5.22 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.1 v.4.5.50938 Внимание! Скачать обновления
NVIDIA GeForce Experience 2.5.14.5 v.2.5.14.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
VMware Player v.3.1.6.30422 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Visio 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком.
ASUS Live Update v.2.5.9 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
Far Manager 3 x64 v.3.0.4400 Внимание! Скачать обновления
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win7 v.2.4.8-I602-Win7 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
FlashGet(JetCar) Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.2.2.0 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Remote Manipulator System - Host v.6.236.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 10.0.5 v.10.0.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 ActiveX v.24.0.0.194 Внимание! Скачать обновления
Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления
Adobe Reader XI (11.0.10) - Russian v.11.0.10 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 52.9.0 ESR (x86 ru) v.52.9.0 Внимание! Скачать обновления
Pale Moon 26.5.0 (x86 en-US) v.26.5.0 Внимание! Скачать обновления
------------------ [ AntivirusFirewallProcessServices ] -------------------
Sandboxie Service (SbieSvc) - Служба работает
C:\Program Files\Sandboxie\SbieSvc.exe v.5.22.0.0
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

**Sandor** · 20.12.2020, 22:00

Советы и рекомендации после лечения компьютера.

**xlives** · 21.12.2020, 00:39

Спасибо!

Вирусная сетевая активность (заявка № 226073)

Опции темы